DNSSEC : Protégez votre nom de domaine

Protégez votre nom de domaine contre le Cache Poisoning.

Ces dernières années, des hackers ont mis au point des méthodes d'empoisonnement des serveurs DNS qui leur permettent de détourner le trafic vers leurs serveurs (phishing, etc.) en falsifiant les réponses données par l'annuaire DNS. Nous vous proposons de protéger dès maintenant vos serveurs DNS avec notre solution DNSSEC.

DNSSEC

Inclus

- DNS Sécurisé
- Protection contre le Cache Poisoning
Activable depuis votre espace client

Commander un nom de domaine
Requête_envoyée_au_serveur_DNS

Déroulement d'une attaque et protection par DNSSEC

L'utilisateur entre l'adresse www.ovhcloud.com dans son navigateur Internet. Une requête est envoyée au serveur DNS qui renvoie l'adresse IP correspondante : 213.186.33.34.

IP_validée

Le navigateur Internet connaît maintenant l'adresse IP du serveur qui contient la page www.ovhcloud.com. Il renvoie une requête à cette adresse IP qui renvoie le contenu de la page.

Un hacker_décele_une_faille_dans_le_serveur_DNS

Le danger : le Cache Poisoning

Un hacker a décelé une faille dans le serveur DNS. Il parvient à s'introduire dans le serveur et à modifier l'adresse correspondant à www.ovhcloud.com par l'IP d'un serveur secondaire lui appartenant : 203.0.113.78.

DNS_infecté

Lorsque l'utilisateur entre l'adresse www.ovhcloud.com, son navigateur se dirige vers le serveur DNS pour récupérer l'adresse IP correspondante. Le DNS infecté renvoie l'adresse introduite par le hacker : 203.0.113.78.

Page_piratée

Le navigateur utilise cette adresse IP pour obtenir le contenu du site. Le serveur pirate lui renvoie une page ressemblant à www.ovhcloud.com pour obtenir ses données personnelles (phishing).

DNSSEC_sécurise_l'authenticité_de_la_réponse_DNS

A quoi sert DNSSEC ?

DNSSEC permet de sécuriser l'authenticité de la réponse DNS. Lorsque le navigateur envoie une requête, celle-ci revient avec une clé d'authentification qui atteste que l'IP renvoyée est la bonne.

IP_validée

L'utilisateur est alors assuré d'accéder au bon site lorsqu'il reçoit une IP validée par DNSSEC. Le but est de pointer les incohérences dans les requêtes.

DNS_protégé_par_DNSSEC

Si un hacker tente de modifier la table contenue dans le serveur DNS protégé par DNSSEC, ce dernier refuse ses requêtes, l'information envoyée n'étant pas signée.

Activer DNSSEC

Les questions que vous vous posez

Comment protéger mon serveur DNS ?

Pour se défendre face à cette pratique, le protocole DNSSEC utilise les principes de cryptographie asymétrique et de signature numérique pour garantir l'authenticité des données, ainsi qu'une preuve de non-existence si l'enregistrement demandé n’a aucune existence et pourrait être considéré comme frauduleux.

Activer DNSSEC

À quoi sert un DNS ?

Un serveur DNS sert à obtenir l'adresse IP correspondant à un nom de domaine (URL dans le cas d'un site web). Il s’agit en quelque sorte d’un annuaire. Le service DNS traduit les noms de domaine en adresses IP ainsi qu’en d’autres types d’enregistrements. L'adresse IP est nécessaire à votre navigateur pour qu'il puisse contacter le serveur web responsable du site que vous voulez visiter, car l'adresse IP identifie de façon unique chaque machine reliée à Internet, exactement comme un numéro de téléphone. C'est un maillon discret mais crucial pour la sécurité sur Internet. L’exemple le plus commun de serveur DNS est le serveur BIND, le plus présent sur internet.

À l’heure actuelle, les adresses IP sont principalement enregistrées en IPv4 et une amorce de transition a été enclenchée pour utiliser des adresses IPv6. Chaque association de nom de domaine à une adresse IP est unique.

Les serveurs DNS ont une hiérarchie. La racine (généralement représentée par un point) est le centre hiérarchique le plus haut. Dans un domaine, on peut alors créer plusieurs sous-domaines qui eux-mêmes peuvent créer des délégations de sous-domaines hébergés sur d’autres serveurs. Les délégations créent alors des zones qui ont leur propre système hiérarchique. Les domaines se situant juste en dessous de la racine sont les domaines primaires (TLD pour Top Level Domain). Les mises à jour se font sur le serveur primaire du domaine. Le transfert de zone consiste en la reproduction des enregistrements du serveur primaire par les serveurs secondaires.

En quoi consiste une recherche sur un serveur DNS ?

Lorsque qu’un hôte cherche un domaine, il parcourt l’ensemble de la hiérarchie du DNS de façon itérative jusqu’au domaine précis. Un fournisseur d’accès Internet met à la disposition de ses clients des serveurs récursifs effectuant des recherches de ce type. Lorsque ce serveur effectue une recherche d’adresse IP, le serveur envoie la demande aux serveurs racine. Il va alors en choisir un capable de lui fournir une réponse. Si ce n’est pas le cas, il va en choisir un autre dans la liste des serveurs et ainsi de suite. Il est possible qu’il consulte plusieurs serveurs avant de trouver celui qui correspond à la requête.

Dans le cas d’une résolution inverse (ou reverse DNS), c’est-à-dire d’une recherche en utilisant son adresse IP en premier. Elle se réalise grâce à une entrée PTR. Elle indique à quel nom du serveur hôte correspond l’adresse du serveur concerné. Si elle est spécifiée, elle doit contenir l'enregistrement inverse d'une entrée DNS A ou AAAA. Les requêtes des serveurs de messagerie en ligne (e-mails, etc.) ne possèdent pas d’enregistrement PTR, elles ont donc plus de chance de ne pas aboutir.

Quels sont les enregistrements d’un serveur DNS ?

Concernant les autres enregistrements DNS, on trouve généralement le SOA record (Start Of Authority record) qui renseigne sur la zone : serveur principal, e-mail de contact, différentes durées dont celle d'expiration, numéro de série de la zone, etc. Il est en quelque sorte la carte d’identité du serveur DNS. Cet enregistrement de type de données DNS comporte un numéro de série qui s’incrémente à chaque modification du fichier de zone.

On trouve également le TXT record qui permet à un administrateur de créer du texte dans un enregistrement DNS. Tout type d’enregistrement est associé à un TTL (Time to live) qui correspond à une durée de vie, c’est-à-dire combien de temps il est autorisé à être stocké dans un serveur cache. C’est là que peut intervenir l’attaque d’empoisonnement du cache DNS (ou DNS cache poisoning).

Qu’est-ce que le cache poisoning ?

L’empoisonnement du cache DNS, ou pollution de cache DNS, est une technique de hacker visant à tromper un serveur DNS en lui faisant croire qu’il reçoit une réponse valide et authentique à une requête. Le serveur DNS ainsi contaminé met l’information dans un cache. Les utilisateurs sont alors redirigés vers des sites douteux, pouvant notamment servir à l’hameçonnage ou comme canal pour installer un virus.

Généralement, l’attaquant exploite une vulnérabilité du serveur DNS qui accepterait des requêtes imprécises ou fausses. Les victimes, qui s’attendent à atteindre le contenu désiré, se retrouvent face à un autre contenu potentiellement dangereux.

Généralement un serveur DNS possède un port 53. La taille maximale d’une réponse doit être de 512 octets. Si elle dépasse cette taille, la requête est renvoyée sur le Tcp 53. Une redirection de ce type est toutefois rare car les hébergeurs restreignent la possibilité de transférer des zones DNS de cette manière.

Activer DNSSEC

Comment configurer une zone DNSSEC sur votre DNS, pour un nom de domaine hébergé chez nous ?

Retrouvez toutes les informations pour activer DNSSEC dans les guides ci-dessous :
Editer ma zone DNS
Configuration du serveur DNS